Việc tấn công một thiết bị số thông thường được thực hiện bằng cách dụ nạn nhân tải mã độc, chẳng hạn nhấp vào liên kết độc hại trên tin nhắn hoặc website. Nhưng lỗ hổng trên email của iOS "giúp" hacker cài phần mềm độc hại âm thầm, nạn nhân không phải thao tác bất kỳ công đoạn nào. 

Apple khuyến cáo người dùng iPhone, iPad không nhấp vào email lạ

"Lỗi này có thể khiến một lượng lớn iPhone bị tấn công. Rất may, nó chưa được nhiều hacker biết tới nên mức ảnh hưởng chưa thực sự rộng rãi", Zuk Avraham, Giám đốc điều hành công ty bảo mật ZecOps, đơn vị phát hiện lỗi trên, cho biết.

Chuyên gia này giải thích, đầu tiên, hacker sẽ gửi một email trống được chế tạo đặc biệt để có quyền truy cập vào thiết bị của người nhận. Email này sẽ khiến thiết bị gặp sự cố và khởi động lại. Từ đó, hacker có thể truy cập thiết bị từ xa.

Việc tấn công cũng được nhận xét là rất tinh vi. Các chuyên gia của ZecOps đã dựa trên các manh mối còn sót lại để phân tích và kết luận rằng: "Chúng tôi không thể lấy được mã độc để phân tích, bởi các email dùng để khởi động cuộc tấn công trên thiết bị nạn nhân đã bị xóa sau đó".

Cho đến nay, ZecOps đã xác định được ít nhất sáu mục tiêu bị tấn công qua lỗ hổng này, gồm một nhân viên của một công ty viễn thông ở Nhật Bản, một công ty lớn có trụ sở tại Bắc Mỹ, một công ty công nghệ ở Saudi Arabia và Israel, một nhà báo châu Âu và một cá nhân ở Đức. Nhưng các chuyên gia từ chối nêu cụ thể danh tính. Trong 2 năm tồn tại của lỗ hổng này, lượng thiết bị iOS bị ảnh hưởng có thể đã lên tới nửa tỷ.

Lỗ hổng ảnh hưởng tới người dùng iPhone từ iOS 6 (tháng 9/2012) - tức từ iPhone 5 trở về sau, đến iOS 13.4.1 mới nhất. Tuy nhiên, các nhà nghiên cứu của ZecOps thừa nhận chưa kiểm tra các máy chạy iOS 5 về trước, do đó vẫn có khả năng lỗi ảnh hưởng đến cả các phiên bản cũ hơn.

Những tác động nếu bị hacker tấn công vẫn chưa rõ ràng. ZecOps cho biết khi nhấp vào email trống trên ứng dụng Mail, iPhone hoặc iPad sẽ chậm bất thường do phải tải tài nguyên. Trong trường hợp tấn công thất bại, một email khác gửi về với thông điệp "Tin nhắn này không chứa nội dung".

Thông báo gửi về điện thoại của người dùng khi tấn công thất bại. Ảnh: ZecOps.

ZecOps đã gửi báo cáo tới Apple và đã họ vá lỗi bảo mật trong bản thử nghiệm iOS mới nhất. Tuy nhiên, bản sửa lỗi chính thức vẫn chưa có sẵn cho người dùng.

Apple đã xác nhận vấn đề và hứa sẽ cung cấp "bản vá toàn diện" thời gian tới. Hãng điện tử Mỹ cũng khuyến cáo người dùng không nên mở email đáng ngờ.

Theo Gadgetmatch, đây là phản ứng nhanh hiếm thấy của Apple. Trong quá khứ, công ty thường im lặng và âm thầm vá lỗi.

Kể từ khi được giới thiệu vào năm 2007, Apple đã chi hàng triệu USD để phát triển và quảng bá iPhone như một thiết bị điện toán an toàn, cũng như treo thưởng hấp dẫn cho ai phát hiện các lỗi. Tuy nhiên, Wall Street Journal cho rằng, sự cố mới nhất đánh dấu bước thụt lùi về khả năng bảo mật của iPhone - thiết bị từ lâu được coi là tiêu chuẩn vàng về bảo vệ dữ liệu trong lĩnh vực di động.

Theo vnexpress.net